L'authentification de MD5 entre le BGP scrute exemple de configuration

Introduction

Ce document décrit comment configurer l'authentification du message Digest5 (MD5) sur une connexion TCP entre deux pairs BGP.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les sorties de commande affichées dans ce document ont été prises des Routeurs de gamme 3660 exécutant la version 12.4(15)T14 de ^® IOS.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Vous pouvez configurer l'authentification de MD5 entre deux pairs BGP, voulant dire que chaque segment envoyé sur la connexion TCP entre les pairs est vérifié. L'authentification de MD5 doit être configurée avec le même mot de passe sur les deux pairs BGP ; autrement, le rapport entre eux ne sera pas établi. Configurer l'authentification de MD5 fait générer et vérifier le logiciel de Cisco IOS le condensé de MD5 de chaque segment envoyé sur la connexion TCP.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configurations

Ce document utilise les configurations suivantes :

R0#!
interface Loopback70
 ip address 70.70.70.70 255.255.255.255
!
interface Serial1/0
 ip address 10.10.10.1 255.255.255.0
 serial restart-delay 0
!
router bgp 400
 no synchronization
 bgp log-neighbor-changes
 neighbor 80.80.80.80 remote-as 400 

!--- iBGP Configuration using Loopback Address

 neighbor 80.80.80.80 password cisco   

!--- Invoke MD5 authentication on a TCP connection to a BGP peer

 neighbor 80.80.80.80 update-source Loopback70
 no auto-summary
!
ip route 80.80.80.80 255.255.255.255 10.10.10.2 

!--- This static route ensures that the remote peer address used for peering !--- is reachable.

 .
 .
  

R1#
!
interface Loopback80
 ip address 80.80.80.80 255.255.255.255
!
interface Serial1/0
 ip address 10.10.10.2 255.255.255.0
 serial restart-delay 0
!
router bgp 400
 no synchronization
 bgp log-neighbor-changes
 neighbor 70.70.70.70 remote-as 400

!--- iBGP Configuration using Loopback Address
  
 neighbor 70.70.70.70 password cisco 

!--- Invoke MD5 authentication on a TCP connection to a BGP peer

 neighbor 70.70.70.70 update-source Loopback80
 no auto-summary
!
ip route 70.70.70.70 255.255.255.255 10.10.10.1 

!--- This static route ensures that the remote peer address used for peering !--- is reachable.

 .
 .
 .
 

Compréhension des debugs

R0#
clear ip bgp *

R0#
*Mar  1 01:02:17.523: %BGP-5-ADJCHANGE: neighbor 80.80.80.80 Down User reset

R0#debug ip bgp
BGP debugging is on for address family: IPv4 Unicast
*Mar  1 01:03:58.159: BGP: 80.80.80.80 open failed: Connection timed out; 
    remote host not responding, open active delayed 1782ms (2000ms max, 28% 
    jitter)
*Mar  1 01:03:58.415: %SYS-5-CONFIG_I: Configured from console by console
*Mar  1 01:03:59.943: BGP: 80.80.80.80 open active, local address 70.70.70.70
*Mar  1 01:04:00.039: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to
    70.70.70.70(64444)
*Mar  1 01:04:00.807: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(33358) 
    to 70.70.70.70(179)
*Mar  1 01:04:01.991: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to
    70.70.70.70(64444)
*Mar  1 01:04:01.995: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to
    70.70.70.70(64444)
*Mar  1 01:04:05.995: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to
    70.70.70.70(64444)
*Mar  1 01:04:06.015: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to
    70.70.70.70(64444)
*Mar  1 01:04:14.023: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to
    70. 70.70.70(64444)
*Mar  1 01:04:14.023: %TCP-6-BADAUTH: No MD5 digest from 80.80.80.80(179) to
    70.70.70.70(64444)
*Mar  1 01:04:29.947: BGP: 80.80.80.80 open failed: Connection timed out; 
    remote host not responding, open active delayed 3932ms (4000ms max, 28% 
    jitter)
*Mar  1 01:04:33.879: BGP: 80.80.80.80 open active, local address 70.70.70.70
*Mar  1 01:04:33.983: BGP: 80.80.80.80 went from Active to OpenSent
*Mar  1 01:04:33.983: BGP: 80.80.80.80 sending OPEN, version 4, my as: 400, 
    hold time 180 seconds
*Mar  1 01:04:33.987: BGP: 80.80.80.80 send message type 1, length (incl.
    header ) 45
*Mar  1 01:04:34.091: BGP: 80.80.80.80 rcv message type 1, length (excl. 
    header) 26
*Mar  1 01:04:34.091: BGP: 80.80.80.80 rcv OPEN, version 4, holdtime 180 seconds
*Mar  1 01:04:34.091: BGP: 80.80.80.80 rcv OPEN w/ OPTION parameter len: 16
*Mar  1 01:04:34.095: BGP: 80.80.80.80 rcvd OPEN w/ optional parameter type 2 
    (Capability) len 6
*Mar  1 01:04:34.095: BGP: 80.80.80.80 OPEN has CAPABILITY code: 1, length 4
*Mar  1 01:04:34.095: BGP: 80.80.80.80 OPEN has MP_EXT CAP for afi/safi: 1/1
*Mar  1 01:04:34.095: BGP: 80.80.80.80 rcvd OPEN w/ optional parameter type 2 
    (Capability) len 2
*Mar  1 01:04:34.095: BGP: 80.80.80.80 OPEN has CAPABILITY code: 128, length 0
*Mar  1 01:04:34.099: BGP: 80.80.80.80 OPEN has ROUTE-REFRESH capability(old) 
    for all address-families
*Mar  1 01:04:34.099: BGP: 80.80.80.80 rcvd OPEN w/ optional parameter type 2 
    (Capability) len 2
*Mar  1 01:04:34.099: BGP: 80.80.80.80 OPEN has CAPABILITY code: 2, length 0
*Mar  1 01:04:34.099: BGP: 80.80.80.80 OPEN has ROUTE-REFRESH capability(new) 
    for all address-families
BGP: 80.80.80.80 rcvd OPEN w/ remote AS 400
*Mar  1 01:04:34.103: BGP: 80.80.80.80 went from OpenSent to OpenConfirm
*Mar  1 01:04:34.103: BGP: 80.80.80.80 went from OpenConfirm to Established
*Mar  1 01:04:34.103: %BGP-5-ADJCHANGE: neighbor 80.80.80.80 Up

Si un routeur a un mot de passe configuré pour un voisin, mais le routeur voisin ne fait pas, un message de ce type est affiché tandis que la tentative de Routeurs d'établir une session BGP entre eux :

%TCP-6-BADAUTH: No MD5 digest from [peer's IP address]:11003 to [local 
    router's IP address]:179

De même, si les deux Routeurs font configurer différents mots de passe, un message de ce type est affiché :

%TCP-6-BADAUTH: Invalid MD5 digest from [peer's IP address]:11004 to [local 
    router's IP address]:179

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

• Voisins BGP d'IP R0#show | incluez le BGP

  BGP neighbor is 80.80.80.80, remote AS 400, internal link
    BGP version 4, remote router ID 80.80.80.80
    BGP state = Established, up for 00:08:26
    BGP table version 1, neighbor version 1/0
  

• Résumé BGP d'IP R0#show

  BGP router identifier 70.70.70.70, local AS number 400
  BGP table version is 1, main routing table version 1
  
  Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
  80.80.80.80     4   400      75      75        1    0    0 00:08:52        0
  

• Résumé BGP d'IP R1#show

  BGP router identifier 80.80.80.80, local AS number 400
  BGP table version is 1, main routing table version 1
  
  Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
  70.70.70.70     4   400      76      76        1    0    0 00:09:27        0
  

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

• Routage IP de Cisco IOS : Référence de commandes BGP
• Page de support pour le routage IP
• Support et documentation techniques - Cisco Systems